Powiadomienia push a RODO

Obecne czasy, w szczególności pandemia COVID - 19, determinują szybki rozwój handlu w sieci. Coraz więcej przedsiębiorstw stawia na handel, który odbywa się za pośrednictwem Internetu. Nieustanie rosnąca liczba e-sklepów sprawia, że Internet staje się niezwykle skutecznym narzędziem, za pośrednictwem którego sprzedawcy docierają do potencjalnych klientów. Wraz z rozwojem nowoczesnych technik handlu pojawiają się nowe zagrożenia, tak dla konsumentów jak i – a może przede wszystkim – dla profesjonalnych podmiotów oferujących swoje usługi oraz produkty w sieci. Właśnie ten stan rzeczy, jak również niezwykle dynamiczny rozwój technologii, determinuje konieczność dostosowywania regulacji prawnych, których zadaniem jest zabezpieczenie podmiotów nieprofesjonalnych (konsumentów) przed nadużyciami.

Obecne ustawodawstwo przewiduje wiele dotkliwych sankcji dla przedsiębiorców, którzy świadomie (to znaczy w wyniku działania), czy też nieświadomie (to jest w wyniku zaniedbania), wykorzystują swoją silniejszą pozycję. W wyniku przenoszenia handlu do sieci na rynku pojawia się coraz więcej skutecznych narzędzi, których zadaniem jest docieranie do odbiorców z konkretną informacją, najczęściej marketingową.

W niniejszym opracowaniu odpowiemy na pytania, czym jest jeden z ostatnich fenomenów pod tym względem, czyli powiadomienie push, jaką odgrywa rolę dla dostawców tego narzędzia oraz co zrobić, by korzystanie z powiadomień push było zgodne z przepisami z zakresu ochrony danych osobowych.

Czym są powiadomienia push?

Co do zasady, powiadomienia push mają formę małych, prostokątnych okienek, które różnią się od siebie w zależności od preferencji dostawcy powiadomień. Mogą przybierać formę tekstową, graficzną lub wideo, przy czym posiadają pewne stałe elementy, tzn. tytuł i treść tekstową, którą można uzupełnić o chwytliwą grafikę, bądź link do strony www. Tego typu zabiegi zdecydowanie wpływają na poziom zaangażowania odbiorców, którzy sami wybierają, jakie informacje chcą otrzymywać od sklepów internetowych lub stron informacyjnych.

To przykładowe powiadomienie push

Nowy artykuł na naszym blogu !

Z punktu widzenia odbiorcy istotne jest, aby przesyłane informacje były ważne, użyteczne i pożądane. Na każdym kroku użytkownicy Internetu stykają się z wiadomościami błahymi i nieważnymi z ich punktu widzenia, dlatego warto w wysłanym komunikacie jasno zasugerować podjęcie działania, którego nadawca oczekuje.

Gwoli wyjaśnienia, możemy wskazać kilka rodzajów powiadomień push ze względu na cel ich stosowania, m.in. informacyjne, reklamowe, transakcyjne, retencyjne – wszystko zależy od celu, jaki nadawca zamierza osiągnąć. Powiadomienia można także podzielić ze względu na sposób ich dostarczania, czyli powiadomienia z aplikacji, tzw. push mobile oraz powiadomienia ze strony internetowej, tzw. push web.

W przypadku push web użytkownik strony internetowej zgadza się na subskrypcję powiadomień, wybierając daną opcję w komunikacie pojawiającym się przy wejściu na stronę internetową, tzw. pop-up’ie, który powinien dać zarówno możliwość wyrażenia zgody (przykład: „Zezwól”) na otrzymywanie powiadomień push, jak również pozwalać na blokowanie powiadomień na przyszłość (przykład: „Blokuj”).

odo24.pl chce wysyłać Ci powiadomienia

Powiadomienia push mogą być przekazywane tylko pod warunkiem wyrażenia zgody na ich otrzymywanie. Dostawcy powiadomień push powinni stosować mechanizmy, które umożliwią im odnotowywanie każdego wyboru użytkownika strony internetowej.

Co ważne, zastosowanie powiadomień jest szerokie. Powiadomienia pojawiają się na bieżąco, ale można je zaplanować, wysyłać do konkretnego zindywidualizowanego odbiorcy lub grona odbiorców ustalonych na podstawie pewnych informacji lub do wszystkich, którzy wyrazili zgodę na otrzymywanie push.

Zdecydowaną większość powiadomień push stanowią powiadomienia o charakterze marketingowym. Powiadomienia te stanowią skuteczny kanał komunikacji marketingowej opartej o spersonalizowane profile użytkowników, zbudowane w oparciu o dane, zebrane z aplikacji czy też ze stron internetowych. Powiadomienia zawierają informacje o promocjach w celu poprawienia konwersji, stanowią więc doskonałe narzędzie do remarketingu, które pobudza uśpionych użytkowników, którzy np. porzucili koszyk zakupowy. Powiadomienia mogą także informować o nowościach, ofercie i pojawieniu się brakujących, wyprzedanych wcześniej towarów.

Czy powiadomienia push wykorzystują dane osobowe?

Dostawcy powiadomień web push zazwyczaj wskazują, że nie przetwarzają danych osobowych, wobec czego więc nie pozyskują zgód na ich przetwarzanie. Użytkownicy są identyfikowani wyłącznie na podstawie informacji, które są przechowywane przez ich przeglądarki internetowe, do których właściciel strony internetowej nie ma dostępu.  

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Dostawcy powiadomień wskazują także, że nie korzystają z plików cookie, a profil odbiorców powiadomień tworzą na podstawie informacji, które nie posiadają cech ochrony danych osobowych,
np. informacji o lokalizacji, dacie zakupu, wysokości ceny. Nie wolno jednak zapominać, że dane o ruchu i lokalizacji generowane przez usługi łączności elektronicznej mogą się również wiązać
z przetwarzaniem danych osobowych, o ile dotyczą osób fizycznych, o czym możemy przeczytać m.in. na stronie 12 opinii 5/2019 w sprawie wzajemnej zależności między Dyrektywą o prywatności i łączności elektronicznej a RODO, w szczególności w zakresie właściwości, zadań i uprawnień organów ochrony danych – przyjętej 12 marca 2019 r.

Właściciel strony internetowej musi pamiętać, iż w przypadku, w którym będzie dochodziło do identyfikacji osób fizycznych, które korzystają z powiadomień, powstanie szereg obowiązków związanych z przetwarzaniem danych osobowych. Co ważne, jeśli przetwarzany będzie adres IP, to zazwyczaj przetwarzane będą dane osobowe (zgodnie z motywem 30 RODO, „osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory (…). Może to skutkować zostawieniem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania osób”. Adres IP został zakwalifikowany jako dane osobowe już  w wyroku Trybunału Sprawiedliwości UE  z 24.11.2011 r., C-70/10, zaś w kolejnym wyroku Trybunału Sprawiedliwości, C-582/14 uznano, iż dynamiczny adres IP ma cechy informacji o charakterze osobowym, ponieważ jest możliwa identyfikacja jakiejś osoby fizycznej na jego podstawie. Nie ma znaczenia fakt, że jeśli administrator realnie będzie chciał ustalić tożsamość takiej osoby, to będzie musiał podjąć dodatkowe kroki i zastosować dodatkowe środki, żeby ustalić tożsamość).

Zdecydowanie inaczej sprawa ma się z przetwarzaniem danych osobowych w aplikacji mobilnej.

W momencie wysyłania powiadomień push mobile, co do zasady będzie dochodziło do przetwarzania danych osobowych  konkretnego zidentyfikowanego użytkownika aplikacji w celu wysyłki powiadomień push.

Powiadomienia push jako marketing bezpośredni – wymogi Prawa telekomunikacyjnego

Zdaniem autorki tekstu powiadomienia push powinny co do zasady być traktowane jako marketing bezpośredni, ponieważ zazwyczaj wpisują się w definicję marketingu bezpośredniego, za który uważa się, m.in. formę komunikacji polegającą na wchodzeniu w bezpośrednią interakcję pomiędzy sprzedawcą a klientem, która może być kierowana bezpośrednio do określonych osób. Cele marketingu bezpośredniego pokrywają się z celami powiadomień push, tj. przyciąganie i zatrzymanie uwagi potencjalnego kupującego, zachęcenie go do odwiedzin w sklepie, badanie reakcji klienta na towary czy zwiększenie wielkości sprzedaży.

Przetwarzając dane dla celów marketingu bezpośredniego musimy posiadać podstawę prawną przetwarzania danych osobowych. Ponadto, należy odebrać zgodę z art. 172 ustawy Prawo telekomunikacyjne na używanie telekomunikacyjnych urządzeń końcowych (komórki, komputera, tableta) dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Co do zasady, w niniejszej sytuacji będzie można powołać się na prawnie uzasadniony interes administratora z art. 6 ust. 1 lit. f RODO w związku z pozyskaną zgodą z art. 172 ustawy Prawo telekomunikacyjne.

Powyższe będzie możliwe, pod następującymi warunkami:

  1. informacja dotycząca powiadomień powinna być napisana jasnym i prostym językiem,
  2. zgoda powinna być:
    1. uprzednia (czyli zebrana przed wysłaniem powiadomienia push),
    2. wyraźna i oddzielna od innych zgód,
    3. świadoma (z treści wynika, dla kogo jest wyrażana), konkretna (wskazuje cel, dla którego jest wyrażana) i dobrowolna (nie powinno się przymuszać do jej wyrażenia), jednoznaczna (dana osoba wykonuje działanie w celu jej wyrażenia),
    4. zapewniająca rozliczalność pozyskania zgody (a contrario nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści),
  3. użytkownik powinien być poinformowany, iż może zrezygnować z powiadomień w każdym czasie, w sposób prosty i wolny od opłat oraz
  4. warto wspomnieć o zasadach funkcjonowania powiadomień w regulaminie strony czy polityce prywatności (opisać, czym jest powiadomienie, wspomnieć o możliwości wycofania się w każdej chwili i skorzystania z funkcjonalności strony internetowej w celu zrezygnowania z powiadomień push).

Funkcja IOD - to się dobrze przekazuje

W przypadku powiadomień typu push mobile, nie należy także zapominać o art. 173 oraz art. 174 ustawy Prawo telekomunikacyjne, które mają zastosowanie, gdy w telekomunikacyjnym urządzeniu końcowym (komórce, komputerze, tablecie) użytkownika aplikacji, będą przechowywane informacje lub będzie uzyskiwany dostęp do informacji już przechowywanej, w takim przypadku niezbędne będzie spełnienie dodatkowych wymogów:

  1. użytkownik aplikacji zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
    1. celu przechowywania i uzyskiwania dostępu do tej informacji,
    2. możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.

 Podsumowując, w przypadku powiadomień typu push mobile, co do zasady, należy odebrać zgodę z art. 172 ustawy Prawo telekomunikacyjne, ponieważ każde wykorzystanie sprzętu końcowego, np. komórki, do działań marketingowych wymaga uzyskania zgody właściciela komórki, natomiast pozyskanie zgody z art. 173 ustawy Prawo telekomunikacyjne za każdym razem będzie wymagało analizy, czy faktycznie dochodzi do tego typu ingerencji w urządzenie końcowe użytkownika aplikacji.

Dodatkowe wymogi w przypadku równoczesnego przetwarzania danych osobowych

Jeżeli ustaliliśmy, iż korzystanie z powiadomień typu push stanowi równoczesne przetwarzanie danych osobowych, w grę wchodzi konieczność: 

  1. przeanalizowania procesu przetwarzania danych pod kątem konieczności przeprowadzenia analizy ryzyka lub szacowania wpływu przetwarzania na prawa i wolności osób, których dane dotyczą; przeprowadzenia procesu privacy by designprivacy by default w celu zaprojektowania procesu w sposób spełniający wymagania RODO, w tym przeanalizowania zakresu zbierania danych pod kątem konieczności ich posiadania podczas wysyłki powiadomień push (dobrowolny udział, możliwość rezygnacji w każdej chwili), wskazując na ustawienia przeglądarki jako właściwego narzędzia do wycofania się z notyfikacji lub poprzez kontakt e-mailowy z właścicielem aplikacji;
  2. przekazania informacji o przetwarzaniu danych w sposób jasny, prosty, zrozumiały poprzez spełnienie obowiązku informacyjnego; wskazania w polityce prywatności oraz regulaminie aplikacji zasad funkcjonowania powiadomień push, opisania, czym jest powiadomienie, wskazania  możliwości wycofania się z dostawania powiadomień w każdej chwili w sposób prosty i wolny od opłat, skorzystania z funkcjonalności ustawień aplikacji w celu zrezygnowania z powiadomień push lub poprzez kontakt e-mail z IOD lub osobą sprawującą podobną rolę w organizacji;
  3. Nie ma głupich pytań RODO.
    Są darmowe odpowiedzi

    Skorzystaj z bezpłatnej porady prawnej lub IT.
    MAM PYTANIE
    dopilnowania, aby zgoda była:
    1. uprzednia, czyli zebrana przed wysłaniem powiadomienia push,
    2. wyraźna i oddzielna od innych zgód,
    3. świadoma (z treści wynika, dla kogo jest wyrażana), konkretna (wskazuje cel, dla którego jest wyrażana) i dobrowolna (nie powinno się przymuszać do jej wyrażenia), jednoznaczna (dana osoba wykonuje działanie w celu jej wyrażenia),
    4. zapewniająca rozliczalność pozyskania zgody (a contrario nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści);
  4. zamieszczenia umowy powierzenia danych z dostawcą powiadomień push, jeśli z takiego podmiotu korzystamy i będzie on miał dostęp do danych osobowych, których administratorem jest właściciel aplikacji;
  5. dopilnowania realizacji praw żądających, w tym realizacji wycofania zgody tak łatwo jak jej wyrażenia, zawiadomienia osoby, której dane dotyczą, o ewentualnych naruszeniach bezpieczeństwa danych czy wyznaczenia inspektora danych osobowych;
  6. zwrócenia uwagi, że jeżeli dane obywateli UE przetwarzane są przez podmiot spoza obszar EOG, oznaczać to będzie konieczność zapewnienia ochrony danych osobowych w takim stopniu,
    w jakim wymagana jest w krajach członkowskich;
  7. jeśli w procesie przetwarzania powołujemy się na prawnie uzasadniony interes administratora należy przeprowadzić test równowagi.

Push – droga obrana przez Apple

W tym miejscu warto zwrócić uwagę, że sklep Apple w swoim regulaminie wskazuje, iż powiadomienia push nie mogą być wymagane do działania aplikacji i nie powinny być używane do wysyłania informacji osobistych lub poufnych. Powiadomień push nie należy używać do celów promocji lub marketingu bezpośredniego, chyba że klienci wyraźnie wyrazili zgodę na ich otrzymywanie za pośrednictwem zgody wyświetlanej w interfejsie użytkownika aplikacji z prawem do rezygnacji z otrzymywania takich wiadomości. Nadużywanie tych usług może skutkować cofnięciem uprawnień.

Push w przyszłości

Powiadomienia push okazują się doskonałym narzędziem uzupełniającym pozostałe formy komunikacji, takie jak e-mail, SMS, połączenia telefoniczne. Stanowią precyzyjny komunikat, który osiąga zdecydowanie większy odzew ze strony użytkowników stron internetowych czy aplikacji mobilnych. W dobie ochrony prywatności i powstrzymywania przenikania marketingu do życia prywatnego użytkowników stron internetowych i aplikacji mobilnych z czasem mogą okazać się zbyt uciążliwym narzędziem komunikacji. Pojawiają się pierwsze działania mające na celu ograniczenie tej formy komunikacji. Za przykład można podać chińskich regulatorów, którzy opublikowali nowy projekt zasad dotyczących powiadomień i wyskakujących okienek. Zasady mają na celu powstrzymanie nadmiernego korzystania z narzędzi przez chińskie aplikacje i kontrolę treści udostępnianych w powiadomieniach.

quiz

Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!

Powiadomienia push:

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia
Pamiętaj: sprawdź link, zanim klikniesz!
Never gonna give you up!
Check the link before you click
Never gonna give you up!

Czy ankieta bezpieczeństwa dla podmiotu przetwarzającego powinna być indywidualnie dostosowana do każdej umowy powierzenia/ konkretnego rodzaju usług?

Nie ma konieczności, aby ankieta była dopasowywana każdorazowo do konkretnej umowy/konkretnego rodzaju usług świadczonych przez potencjalnego procesora. Z jednej strony byłoby to czasochłonne, a z drugiej nie jestem przekonana, czy byłoby efektywne: o ile możemy mniej więcej ocenić, które z wymagań co do zasady powinny być realizowane przez dany podmiot i o które warto zapytać w ankiecie, to trudno dopasować pytanie idealnie pod danego kontrahenta.

Wydaje się, że najlepszym rozwiązaniem byłoby stworzenie paru wersji ankiety dla procesora, np. szczegółowej (przesyłanej podmiotom dostarczającym rozwiązania IT czy firmom kadrowo-płacowym) i uproszczonej (dla podmiotów, którym będziemy powierzać dane w ograniczonym zakresie).

Wynik takiej ankiety mógłby być weryfikowany przez IOD, który na jej podstawie podejmowałby decyzję o tym, czy dany podmiot daje odpowiednie gwarancje związane z zapewnieniem bezpieczeństwa danym osobowym.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy zasadne jest zawarcie umowy powierzenia z podmiotem świadczącym usługi migracji danych?

Umowę powierzenia danych osobowych należy zawrzeć wówczas, gdy administrator zleca innemu zewnętrznemu podmiotowi przetwarzanie danych osobowych  w jego imieniu. Opisana sytuacja zlecenia przez administratora danych zewnętrznemu podmiotowi usługi migracji danych z jednego serwera na drugi będzie się wiązała z powierzeniem danych osobowych do przetwarzania. Przetwarzanie danych osobowych zgodnie z treścią art. 4 pkt. 1 RODO to nie tylko ich gromadzenie,  ale również inne operacje wykonywane na danych, takie jak ich przeglądanie, przesyłanie czy przenoszenie.

Taka czynność będzie się zatem mieściła się w pojęciu przetwarzania danych osobowych. Podsumowując, w sytuacji zlecenia innemu zewnętrznemu podmiotowi usługi migracji danych powinna być zawarta umowa powierzenia przetwarzania danych osobowych.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy kancelaria prawna prowadzona przez adwokata lub radcę prawnego powinna podpisywać umowę powierzenia danych osobowych z klientami?

Kancelaria prawna nie powinna ze swoim klientem zawierać umowy powierzenia danych osobowych w ramach realizacji usługi świadczenia pomocy prawnej związanej z prowadzeniem sprawy sądowej. Radca prawny lub adwokat wykonujący zawód w ustawowo określonych formach nie jest podmiotem przetwarzającym w zakresie przetwarzania danych związanych ze świadczeniem pomocy prawnej. Argumentem przemawiającym za takim stanowiskiem jest to, że istotą podmiotu przetwarzającego jest podporządkowanie się decyzjom administratora w zakresie przetwarzania danych osobowych.

Dodatkowo świadczenie usług prawnych w sposób zgodny z prawem oraz zasadami etyki, z równoczesnym zachowaniem tajemnicy zawodowej, wymaga samodzielnego podejmowania decyzji przez profesjonalnego pełnomocnika. Ponadto należy wskazać, że wykonywanie poleceń klienta (występującego jako ADO) przez prawnika stworzyłoby ryzyko nie tylko komplikacji przy wykonywaniu czynności zawodowych, lecz także (a może przede wszystkim) naruszenia zasad etyki.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy procesor powinien ujawniać podmiotowi, z którym łączy go umowa powierzenia, treść polityki ochrony danych osobowych obowiązującej w jego organizacji?

Zapis dotyczący tego, że podmiot przetwarzający zobowiązuje się do udostępnienia dokumentacji z zakresu ochrony danych osobowych, w tym polityki ochrony danych osobowych, jest niewłaściwy. Podmiot, jakim jest administrator danych osobowych (ADO), powinien oczywiście być uprawniony do kontroli procesora, niemniej jednak kontrola ta nie powinna polegać na udostępnieniu całej dokumentacji, w tym polityki ochrony danych osobowych, która reguluje pozycję procesora jako ADO – niezależnie od pozycji procesora w ramach relacji powierzenia.

Można zapisać, że ADO będzie miał wgląd do wyciągu z polityki ochrony danych w części dotyczącej powierzenia oraz do wyciągu z rejestru kategorii czynności przetwarzania jego dotyczących czy możliwość weryfikacji nadanych upoważnień lub odebranych oświadczeń o zachowaniu poufności, podpisanych przez pracowników, który przetwarzają takie dane w ramach zawartej umowy. W pozostałym zakresie wszelkie inne informacje stanowią wewnętrzną dokumentację podmiotu, która nie powinna być ujawniana.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy pomiędzy uczelnią/szkołą a zakładem pracy powinna zostać zawarta umowa powierzenia danych osobowych?

Umowę powierzenia danych administrator jest zobowiązany zawrzeć wówczas, gdy powierza do przetwarzania dane osobowe innemu zewnętrznemu podmiotowi w jego imieniu i na jego rzecz. Udostępnienie danych osobowych oznacza zaś sytuację, w której administrator danych osobowych ujawnia/udostępnia dane osobowe innemu zewnętrznemu podmiotowi do realizacji jego własnych celów przetwarzania i własnymi sposobami. W przypadku zawarcia umowy o praktyki studenckie pomiędzy uczelnią (administratorem danych osobowych studentów) a zakładem pracy będzie dochodziło do udostępnienia danych osobowych, nie zaś do ich powierzenia.

Za przyjęciem takiego stanowiska przemawia fakt, że zakład pracy z chwilą otrzymania od uczelni danych osobowych studenta będzie je przetwarzał we własnych celach przetwarzania tj. ewidencja wejść i wyjść, ewidencja czasu praktyki czy nadanie studentowi upoważnienia do przetwarzania danych osobowych). Ponadto również zakład pracy będzie decydował o sposobach przetwarzania otrzymanych danych osobowych. .

Powyższe przemawia za tym, aby uznać zakład pracy za niezależnego administratora danych osobowych, a nie podmiot przetwarzający dane osobowe.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy w umowie powierzenia procesor może wpisać postanowienie o stawce za godzinę pracy jego IOD przy obsłudze audytu administratora?

W mojej ocenie będzie to zależało od charakteru współpracy administratora i procesora. Trudno oczekiwać pełnej i nieograniczonej obsługi indywidualnej administratora w każdym aspekcie, bez dodatkowych kosztów, jeśli zakres współpracy jest bardzo ograniczony i sprowadza się do paru godzin obsługi w miesiącu za np. łączną kwotę 600 zł.

Dlatego są głosy, że można uznać za dopuszczalne ustalenie, że koszty procesora ponoszone w związku z inspekcją/audytem powinny być zwrócone przez prowadzącego audyt administratora przy czym powinny to być faktyczne koszty i to w rozsądnej wysokości. Uzasadnione wydaje się pokrycie kosztów pracy pracowników procesora, którzy będą zaangażowani w czynności audytowe (np. koszty pracy pracownika procesora towarzyszącego prowadzącemu inspekcję w pomieszczeniach procesora).

Znajdą się też głosy przeciwne, że takie działania ograniczają przysługujące administratorowi prawo do audytu. Rekomendowanym byłoby tu znalezienie złotego środka, czyli przykładowo ustalenie opłat za zaangażowanie IOD w audyt inny niż wstępny/coroczny/związany z konkretnym naruszeniem, tj. że dodatkowe opłaty byłyby związane z tymi „nadprogramowymi” audytami.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Audyt wewnętrzny i zewnętrzny: kiedy zasadne jest nadanie upoważnienia audytorom, a kiedy zawarcie umowy powierzenia?

W przypadku audytu wewnętrznego osoby przeprowadzające audyt powinny posiadać upoważnienie do przetwarzania danych osobowych na potrzeby czynności związanych z audytem. W przypadku audytu zewnętrznego konieczność zawarcia umowy powierzania będzie zależna od tego, czy audyt jest przeprowadzany na zlecenie podmiotu administratora – wówczas umowa powierzenia powinna być zawarta. Jeśli audyt zewnętrzny jest przeprowadzany przez podmiot działający w oparciu o konkretne przepisy prawa, wówczas podmiot ten działa w oparciu o przepisy rangi ustawowej, nadające mu prawo do przeprowadzenia audytu/kontroli.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Outsourcing funkcji Inspektora Ochrony Danych (IOD)

Outsourcing, czyli przekazanie funkcji IOD to sprawdzony sposób na optymalizację procesów i kosztów.

Zobacz więcej
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".